Tag Archives: Risicomanagement

Een kaartenhuis: risicomanagement (ook tijdens een crisis)

De afgelopen weken heb ik mij verdiept in Douglas W. Hubbard’s The Failure of Risk Management: Why It’s Broken and How to Fix It (New York 2009). Dat thema is erg interessant, vooral in het licht van de economische crisis die we op dit moment doormaken en de uitwassen die die crisis hebben bespoedigd. Ik heb daar hier al verschillende posts aan gewijd. Deze maand verscheen in Nederland tevens een onderzoeksrapport over risicomanagement, dat de conclusies van Hubbard, waarover later meer, in mildere taal bevestigt. Dat dat onderzoek door een aantal zwaargewichten uit het wetenschappelijke accountancy-, controlling- en governance-domein is uitgevoerd, geeft te denken. Zeker wanneer we dat in combinatie zien met het bovengenoemde boek van Hubbard.

Al in het voorwoord van het rapport (blz. 3) laten de onderzoekers hun conclusies de vrije loop: ‘Over de slotconclusies zijn we het wel eens. Risicomanagement staat nog in de kinderschoenen en de vooruitgang die in de afgelopen vijf jaar op dit terrein is geboekt is bepaald mager te noemen. Risicomanagement heeft onvoldoende geholpen de gevolgen van de crisis te beperken. De suggestie dat de wereld veiliger was geworden dankzij de verworvenheden van risicomanagement – zoals sommigen in de financiële sector ons hebben willen doen geloven – is volkomen misplaatst. Om te stellen dat de crisis mede is veroorzaakt door de toepassing van risicomanagement is echter weer te stellig. Wel is het zaak verder na te denken over wat risicomanagement wel en wat het vooral niet kan’. Douglas Hubbard is wat minder mild.

Continue reading

Share This:

Information Risk Management

Een nieuwe infographic die de risico’s van ‘data loss’ in kaart brengt en information risk management op de kaart zet. De infographic is ontwikkeld door Iron Mountain.

risk-management-research--iron-mountain_5029160563cef

Share This:

Strategie voor sociale media zeldzaam

Als het om sociale media gaat, zijn Nederlandse overheidsinstanties nog vooral nut en noodzaak aan het aftasten. Een strategie ontbreekt meestal, constateert Ernst & Young. Het verschijnsel social media staat in Nederland nog in de kinderschoenen, concludeert Ernst & Young uit een onderzoek waarvoor 934 ambtenaren zijn ondervraagd. Dertig procent van de overheidsorganisaties gebruikt helemaal geen social media en als ze dat wel doen is dat vooral in pilotprojecten om te zien wat ze ermee kunnen.

De ondervraagde ambtenaren zijn gemiddeld duidelijk beter op de hoogte van de mogelijkheden van sociale media (zoals Twitter en Facebook) dan de rest van hun organisatie – het zijn met name beleidsadviseurs en IT-professionals. Zij zien wel grote mogelijkheden en driekwart van hen denkt dat de inzet van social media over vijf jaar niet meer weg te denken is uit de bedrijfsprocessen, zoals dienstverlening, partcicipatie en werving. Minder dan 30 procent van de overheidsinstanties heeft op dit moment daadwerkelijk een social media-strategie, maar volgens de respondenten is die vaak niet eens bekend in de organisatie.

Share This:

Belangrijke rol internal auditor in risicomanagement

28 april 2010

Risicomanagement is een middel dat vaak tot doel wordt verheven en is dan vaak technocratisch. Handboeken omschrijven wat er wanneer moet gebeuren, zoals het regelmatig ijken van het risicoprofiel van de organisatie en het rapporteren over de uitkomsten. Zoals uit de praktijk en uit het onderzoek ‘Risicomanagement in tijden van crisis' blijkt, is dit geen garantie voor adequaat risicomanagement. Zo hoeven niet de juiste risico's gerapporteerd te worden en al worden ze juist gerapporteerd, dan betekent dat niet dat de juiste respons gekozen wordt door management. Onderzoekers van de Rijksuniversiteit Groningen, Nyenrode, NIVRA en PricewaterhouseCoopers kunnen zich niet aan de indruk onttrekken dat risicomanagement meer als schaamlap functioneert dan dat het is doorgevoerd en ingebed in de bedrijfsvoering. Zij vroegen bijna honderd respondenten in het onderzoek de kwaliteit van hun risicomanagement van een schoolcijfer te voorzien; gemiddeld gaven zij zich een 6,5. Op grond van de ingevulde surveys waardeerden de onderzoekers veel lager: een 4,5.

Continue reading

Share This:

Bedrijven worstelen met governance, compliance en risk management

26 februari 2010

Bedrijven worstelen wereldwijd met de integrale aanpak van governance, risk en compliance. De ondernemingen hikken niet alleen aan tegen de hoge kosten van een betere afstemming van risicomanagement, wet- en regelgeving, verantwoordelijkheden, en de noodzakelijke organisatorische wijzigingen, maar een meerderheid van de bedrijven is er bovendien niet van overtuigd dat meer integratie leidt tot een betere bedrijfsprestatie. Dit blijkt uit internationaal onderzoek van KPMG onder ruim 500 bestuurders van ondernemingen. Als ondernemingen aandacht besteden aan een betere afstemming, gebeurt dat men name onder druk van de regelgevers. Twee op de drie onderzochte ondernemingen geven aan dat regelgevers een groeiende belangstelling laten zien naar de wijze waarop de bedrijven omgaan met governance, risk en compliance. ‘Iedere onderneming heeft te maken met risico's, verantwoordelijkheden en wet- en regelgeving', zegt Peter Paul Brouwers, partner bij KPMG. ‘Ze hangen niet alleen nauw met elkaar samen, maar bepalen veelal ook het succes van de onderneming. Een betere afstemming en daadwerkelijke integratie in de bedrijfsprocessen leidt dan ook tot een betere bedrijfsvoering. Het beheersen van gedragscodes, wet- en regelgeving en goed risicomanagement blijkt voor veel bedrijven echter steeds lastiger'.

Continue reading

Share This:

Data Loss Protection (DLP): uiteraard niet, stel je voor

22 februari 2010

In Nederland zijn weinig bedrijven, die maatregelen nemen om dataverlies te voorkomen (DLP). 'Je zou verwachten dat bedrijven door de media-aandacht over verloren USB-sticks, verloren laptops, vergeten smartphones, aan de straat gezette dossier e.d. zorgvuldiger omspringen met data'. Tom Welling van beveiligingsleverancier Symantec reageert verbaasd op de belangrijkste conclusie in het Symantec Enterprise Security Report 2010. Hij kan een verklaring geven voor het feit dat Nederlanders minder aan Data Loss Prevention (DLP) doen dan andere landen. 'De wetgeving is in Nederland nog niet zo ver gevorderd als bijvoorbeeld in de Verenigde Staten. Daar krijg je gewoon een fikse boete wanneer je klantgegevens verliest. Dat kan oplopen in de miljoenen. De drempel is daar dus veel lager om een DLP-systeem van enkele tienduizenden euro’s te implementeren', zo geeft Welling aan. 'Ook in het Verenigd Koninkrijk wordt DLP veel vaker toegepast. Daar is immers een meldplicht van kracht bij dataverlies'. Gevolg van dit gebrek aan regulering is dat Nederlandse bedrijven moeilijk kunnen inschatten hoeveel geld ze verliezen aan dataverlies. 'Als je een boete krijgt, is dat makkelijk te vertalen naar cijfers. In Nederland gaat het alleen om imagoschade. Dat is een stuk moeilijker te berekenen', aldus Welling. Imagoschade kan overigens wel in de papieren lopen, maar de gevolgen daarvan zijn vaak niet te relateren aan de werkelijke oorzaak.

Continue reading

Share This:

Compliance en Ampersand

2 februari 2010

Hoewel methodes om compliance in IT-stystemen te ondersteunen niet klaar zijn voor de praktijk, denkt Henriëtte Sangers dat dit niet heel lang meer zal duren. Sangers is projectmanager credit risk management bij ING Lease Holding. Volgens haar zou het veel tijd en geld kunnen besparen. 'Het zal nog wel even duren, maar uiteindelijk is dit voor veel bedrijven de toekomst. Als bedrijf mis je kansen op de markt als je dit niet doet. Het is de enige manier om aantoonbaar te voldoen aan allerlei eisen en tegelijk flexibel te blijven'. Het onderzoek van Sangers wees uit dat de Ampersand-methode bruikbaar is om compliance in IT-systemen te ondersteunen. Aangezien compliance-projecten vaak een groot deel van het budget opslokken, hebben organisaties hier veel belang bij. De Ampersand-methode, ontwikkeld door hoogleraar Informatica Stef Joosten van de Open Universiteit, gebruikt relatiealgebra om bedrijfsregels vast te leggen en specificaties in IT-systemen te genereren, waarvan kan worden bewezen dat ze voldoen aan de gebruikte bedrijfsregels. Als deze bedrijfsregels garanderen dat een organisatie op een bepaald gebied voldoet aan de voor haar geldende regelgeving dan kan de Ampersand-methode aantonen dat het IT-systeem dat met behulp van deze regels is gegenereerd, compliant is. Het is een zeer interessante methode, maar de organisatorische kant van compliance om de methode heen wordt nog teveel genegeerd.

Continue reading

Share This: